DATA DA PUBLICAÇÃO 22/02/2010 | Informática
Rootkits: conheça as ameaças que ficam invisíveis no sistema
Entre os vários tipos de pragas digitais encontra-se um tipo especial: os rootkits. O propósito deles, no Windows, é “defender” os demais códigos maliciosos (vírus, cavalos de troia, worms) que são instalados, tornando-os “invisíveis”. Com isso, as ferramentas de proteção e remoção não conseguem realizar seu trabalho, e as pragas ficam por mais tempo no computador da vítima.
Mais do que isso, porém, é o “comportamento” de rootkit. Além de vírus, programas considerados legítimos usam as mesmas técnicas que os rootkits, muitas vezes com o intuito se “defender” do próprio usuário ou de mecanismos de segurança indesejados. Conheça esses programas complexos e saiba como e por quem são usados.
Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.), vá até o fim da reportagem e deixe-a na seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.
A origem do termo: kit para root
O termo “rootkit” tem origem em kits de códigos maliciosos para sistemas Unix (como Linux, BSD e outros). São programas cuja função se realiza após uma invasão de sistema, usados pelo hacker para manter acesso remoto não autorizado ao sistema que foi invadido, escondendo a invasão e os programas maliciosos deixados.
Para que o dono do computador não suspeite da existência de um programa que dá a um hacker o controle do sistema, os programas do “kit” do rootkit substituem componentes do sistema operacional. Com isso, sempre que o responsável tentar listar arquivos, pastas e programas na inicialização, qualquer menção ao software malicioso é retirada, garantindo que o hacker não seja detectado, nem perca seu acesso.
As primeiras tentativas de esconder a presença do invasor em um sistema invadido datam pelo menos de 1989, quando o código fonte de um programa capaz de esconder os logins das contas de usuário comprometidas começou a circular. O Linux, por sua vez, foi alvo de rootkits avançados já em 1996, com o lançamento do “Linux Rootkit 3” (lrk3).
O chkrootkit é um programa que detecta rootkits em sistemas Unix. Mais de 60 tipos diferentes de códigos maliciosos são detectados, alguns deles não exatamente rootkits. Os principais desenvolvedores da ferramenta são brasileiros. O criador, Nelson Murilo, participa do podcast de segurança I shot the sheriff.
Escondendo-se do sistema
No Windows, os códigos que tentam ficar invisíveis (e esconder outros vírus) também receberam o nome de “rootkits”. Mas isso só em 1999, pela mão de Greg Hoglund, que publicou o “NT Rootkit”.
O NT Rootkit faz com que um arquivo malicioso simplesmente desapareça de qualquer listagem. No Gerenciador de Tarefas do Windows, o processo não está lá. Esse sintoma é comum a todos os rootkits. O que muda é como esse resultado é obtido.
É também é errado dizer que até 1999 os vírus para sistemas Microsoft não tentavam se esconder. Junto com os rootkits para sistemas Unix, os vírus para MS-DOS, lá por 1990, também tentavam interceptar os comandos de sistema para remover qualquer informação que poderia indicar a presença de uma infecção. Embora, em princípio, as técnicas usadas para se esconder sejam semelhantes, no Windows a situação é bem diferente da do MS-DOS.
Os rootkits para Windows usam técnicas tão avançadas que ainda hoje muitos antivírus têm problemas para detectar e identificar alguns vírus – o que nunca acontece, no mesmo nível, com os vírus de MS-DOS.
Depois do NT Rootkit, o Windows ganhou os rootkits Hacker Defender (2002), Haxdoor (2003) e FU (2004). O mais complexo era o Hacker Defender, que, como o nome sugere, buscava, de todas as maneiras, impedir que o hacker fosse detectado após a invasão de um sistema. No entanto, o Hacker Defender não era malicioso por si só. Ele precisava ser acompanhado de outros códigos maliciosos, que realmente realizavam as funções desejadas pelo invasor.
O Haxdoor, por sua vez, já permitia o acesso remoto ao computador infectado. O FU era como o Hacker Defender, mas mais simples. O Haxdoor e o FU foram muito comuns nos anos de 2004 e 2005. O Hacker Defender, porém, ganhou notoriedade porque seu autor decidiu vender versões personalizadas do rootkit, chamadas versões “gold”. O Hacker Defender Gold prometia ser indetectável, pois além de se esconder do sistema, também se escondia das ferramentas antirootkit.
Para conseguir essa “invisibilidade”, os rootkits normalmente precisam grampear funções do Windows, sendo instalados como drivers. A programação de drivers é complicada, porque qualquer erro pode gerar um congelamento total ou uma tela azul da morte. Na semana passada, esta coluna noticiou que o rootkit TDSS, comumente instalado por páginas web infectadas, era incompatível com uma atualização do Windows.
Hoje, muitos códigos maliciosos incluem algum tipo de rootkit. O próprio TDSS não é um rootkit em si, e sim um código malicioso que, entre outras coisas, esconde sua presença no sistema. O rootkit passa a ser, portanto, apenas um componente do código malicioso.
Legítimos, mas nem tanto
Se você é um usuário avançado, provavelmente utiliza algum software que faz (ou fez) uso de rootkits. É o caso, por exemplo, do Daemon Tools, programa usado para ter drives virtuais no Windows. Alguns jogos se recusam a executar se o Daemon Tools está em execução e, por isso, algumas versões do Daemon são capazes de “sumir”, impedindo que a emulação seja detectada.
Rootkits são às vezes usados por trapaceadores em jogos on-line, para que os mecanismos antitrapaça não consigam detectar que algum programa de cheat em uso. Quando um programa desse tipo é detectado, alguns jogos se recusam a iniciar.
Os antivírus da Kaspersky e da Symantec também usam técnicas de rootkit para impedir que vírus interfiram na operação do programa. Alguns softwares usados por bancos brasileiros também já apresentaram comportamento semelhante ao de rootkits para tentar se defender dos vírus ladrões de senha, que sempre, ao infectarem o sistema, tentam remover os programas de proteção.
O caso mais polêmico, porém, foi o da Sony. Em 2005, 52 discos de música da gravadora Sony BMG instalavam no computador um rootkit. O objetivo era impedir que os discos fossem copiados. O rootkit causava problemas e tinha erros que permitiam que até mesmo vírus tirassem proveito dele para se esconder do usuário.
O caso gerou processos. A Sony tirou os CDs de circulação e abandonou o mecanismo de proteção, chamado de XCP. Tal atitude, no entanto, demorou a vir. Thomas Hesse, presidente da Sony BMG, chegou a dizer que “a maioria das pessoas nem sabe o que é um rootkit, então por que deveriam se importar?” O caso virou até camiseta.
Bootkits, a pílula azul e detecção
GMER: sem título de janela para evitar que rootkits detectem a ferramenta. (Foto: Reprodução) Os avanços em rootkits não param. Agora, novas tentativas de desenvolvimento estão sendo feitas para criar “bootkits” – rootkits que se iniciam junto com o sistema operacional e que funcionam apesar de criptografia no disco rígido, por exemplo. Outro rootkit interessante é o “Blue pill”, ou “pílula azul”. O nome, em referência direta ao filme, coloca o computador numa espécie de “matrix” – tudo que o usuário vê passa a não ser real.
Mas também no Windows existem programas que se esforçam para detectar o maior número possível de rootkits. É o caso do GMER e do Rootkit Revealer, para citar dois gratuitos. Algumas companhias antivírus, que ofereciam ferramentas antirootkit, não o fazem mais. Em vez disso, incluem a tecnologia no próprio antivírus. É o caso da F-Secure e da AVG. A Sophos ainda distribui o seu Sophos Anti-Rootkit gratuitamente.
Esses programas usam técnicas variadas para detectar os rootkits. O Rootkit Revealer, por exemplo, faz uma análise de todo o disco rígido manualmente, sem usar as funções do Windows, e compara os resultados com os retornados pelo sistema operacional. O que houver de diferente pode ter sido escondido por um rootkit.
Nem sempre um resultado numa dessas ferramentas significa que há algo de errado. Mas vale a pena executá-las se você suspeita que seu computador possa estar hospedando uma dessas ameaças invisíveis.
Esta coluna Segurança para o PC termina aqui, mas volta na quarta-feira (24) com o pacotão de segurança, respondendo dúvidas deixadas pelos leitores. Se você tem alguma dúvida, use a área de comentários, logo abaixo. Ela pode ser respondida nos próximos pacotões. Até lá.
* Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna “Segurança para o PC”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na página http://twitter.com/g1seguranca.
Mais do que isso, porém, é o “comportamento” de rootkit. Além de vírus, programas considerados legítimos usam as mesmas técnicas que os rootkits, muitas vezes com o intuito se “defender” do próprio usuário ou de mecanismos de segurança indesejados. Conheça esses programas complexos e saiba como e por quem são usados.
Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.), vá até o fim da reportagem e deixe-a na seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.
A origem do termo: kit para root
O termo “rootkit” tem origem em kits de códigos maliciosos para sistemas Unix (como Linux, BSD e outros). São programas cuja função se realiza após uma invasão de sistema, usados pelo hacker para manter acesso remoto não autorizado ao sistema que foi invadido, escondendo a invasão e os programas maliciosos deixados.
Para que o dono do computador não suspeite da existência de um programa que dá a um hacker o controle do sistema, os programas do “kit” do rootkit substituem componentes do sistema operacional. Com isso, sempre que o responsável tentar listar arquivos, pastas e programas na inicialização, qualquer menção ao software malicioso é retirada, garantindo que o hacker não seja detectado, nem perca seu acesso.
As primeiras tentativas de esconder a presença do invasor em um sistema invadido datam pelo menos de 1989, quando o código fonte de um programa capaz de esconder os logins das contas de usuário comprometidas começou a circular. O Linux, por sua vez, foi alvo de rootkits avançados já em 1996, com o lançamento do “Linux Rootkit 3” (lrk3).
O chkrootkit é um programa que detecta rootkits em sistemas Unix. Mais de 60 tipos diferentes de códigos maliciosos são detectados, alguns deles não exatamente rootkits. Os principais desenvolvedores da ferramenta são brasileiros. O criador, Nelson Murilo, participa do podcast de segurança I shot the sheriff.
Escondendo-se do sistema
No Windows, os códigos que tentam ficar invisíveis (e esconder outros vírus) também receberam o nome de “rootkits”. Mas isso só em 1999, pela mão de Greg Hoglund, que publicou o “NT Rootkit”.
O NT Rootkit faz com que um arquivo malicioso simplesmente desapareça de qualquer listagem. No Gerenciador de Tarefas do Windows, o processo não está lá. Esse sintoma é comum a todos os rootkits. O que muda é como esse resultado é obtido.
É também é errado dizer que até 1999 os vírus para sistemas Microsoft não tentavam se esconder. Junto com os rootkits para sistemas Unix, os vírus para MS-DOS, lá por 1990, também tentavam interceptar os comandos de sistema para remover qualquer informação que poderia indicar a presença de uma infecção. Embora, em princípio, as técnicas usadas para se esconder sejam semelhantes, no Windows a situação é bem diferente da do MS-DOS.
Os rootkits para Windows usam técnicas tão avançadas que ainda hoje muitos antivírus têm problemas para detectar e identificar alguns vírus – o que nunca acontece, no mesmo nível, com os vírus de MS-DOS.
Depois do NT Rootkit, o Windows ganhou os rootkits Hacker Defender (2002), Haxdoor (2003) e FU (2004). O mais complexo era o Hacker Defender, que, como o nome sugere, buscava, de todas as maneiras, impedir que o hacker fosse detectado após a invasão de um sistema. No entanto, o Hacker Defender não era malicioso por si só. Ele precisava ser acompanhado de outros códigos maliciosos, que realmente realizavam as funções desejadas pelo invasor.
O Haxdoor, por sua vez, já permitia o acesso remoto ao computador infectado. O FU era como o Hacker Defender, mas mais simples. O Haxdoor e o FU foram muito comuns nos anos de 2004 e 2005. O Hacker Defender, porém, ganhou notoriedade porque seu autor decidiu vender versões personalizadas do rootkit, chamadas versões “gold”. O Hacker Defender Gold prometia ser indetectável, pois além de se esconder do sistema, também se escondia das ferramentas antirootkit.
Para conseguir essa “invisibilidade”, os rootkits normalmente precisam grampear funções do Windows, sendo instalados como drivers. A programação de drivers é complicada, porque qualquer erro pode gerar um congelamento total ou uma tela azul da morte. Na semana passada, esta coluna noticiou que o rootkit TDSS, comumente instalado por páginas web infectadas, era incompatível com uma atualização do Windows.
Hoje, muitos códigos maliciosos incluem algum tipo de rootkit. O próprio TDSS não é um rootkit em si, e sim um código malicioso que, entre outras coisas, esconde sua presença no sistema. O rootkit passa a ser, portanto, apenas um componente do código malicioso.
Legítimos, mas nem tanto
Se você é um usuário avançado, provavelmente utiliza algum software que faz (ou fez) uso de rootkits. É o caso, por exemplo, do Daemon Tools, programa usado para ter drives virtuais no Windows. Alguns jogos se recusam a executar se o Daemon Tools está em execução e, por isso, algumas versões do Daemon são capazes de “sumir”, impedindo que a emulação seja detectada.
Rootkits são às vezes usados por trapaceadores em jogos on-line, para que os mecanismos antitrapaça não consigam detectar que algum programa de cheat em uso. Quando um programa desse tipo é detectado, alguns jogos se recusam a iniciar.
Os antivírus da Kaspersky e da Symantec também usam técnicas de rootkit para impedir que vírus interfiram na operação do programa. Alguns softwares usados por bancos brasileiros também já apresentaram comportamento semelhante ao de rootkits para tentar se defender dos vírus ladrões de senha, que sempre, ao infectarem o sistema, tentam remover os programas de proteção.
O caso mais polêmico, porém, foi o da Sony. Em 2005, 52 discos de música da gravadora Sony BMG instalavam no computador um rootkit. O objetivo era impedir que os discos fossem copiados. O rootkit causava problemas e tinha erros que permitiam que até mesmo vírus tirassem proveito dele para se esconder do usuário.
O caso gerou processos. A Sony tirou os CDs de circulação e abandonou o mecanismo de proteção, chamado de XCP. Tal atitude, no entanto, demorou a vir. Thomas Hesse, presidente da Sony BMG, chegou a dizer que “a maioria das pessoas nem sabe o que é um rootkit, então por que deveriam se importar?” O caso virou até camiseta.
Bootkits, a pílula azul e detecção
GMER: sem título de janela para evitar que rootkits detectem a ferramenta. (Foto: Reprodução) Os avanços em rootkits não param. Agora, novas tentativas de desenvolvimento estão sendo feitas para criar “bootkits” – rootkits que se iniciam junto com o sistema operacional e que funcionam apesar de criptografia no disco rígido, por exemplo. Outro rootkit interessante é o “Blue pill”, ou “pílula azul”. O nome, em referência direta ao filme, coloca o computador numa espécie de “matrix” – tudo que o usuário vê passa a não ser real.
Mas também no Windows existem programas que se esforçam para detectar o maior número possível de rootkits. É o caso do GMER e do Rootkit Revealer, para citar dois gratuitos. Algumas companhias antivírus, que ofereciam ferramentas antirootkit, não o fazem mais. Em vez disso, incluem a tecnologia no próprio antivírus. É o caso da F-Secure e da AVG. A Sophos ainda distribui o seu Sophos Anti-Rootkit gratuitamente.
Esses programas usam técnicas variadas para detectar os rootkits. O Rootkit Revealer, por exemplo, faz uma análise de todo o disco rígido manualmente, sem usar as funções do Windows, e compara os resultados com os retornados pelo sistema operacional. O que houver de diferente pode ter sido escondido por um rootkit.
Nem sempre um resultado numa dessas ferramentas significa que há algo de errado. Mas vale a pena executá-las se você suspeita que seu computador possa estar hospedando uma dessas ameaças invisíveis.
Esta coluna Segurança para o PC termina aqui, mas volta na quarta-feira (24) com o pacotão de segurança, respondendo dúvidas deixadas pelos leitores. Se você tem alguma dúvida, use a área de comentários, logo abaixo. Ela pode ser respondida nos próximos pacotões. Até lá.
* Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna “Segurança para o PC”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na página http://twitter.com/g1seguranca.
Assine nosso Feed RSSAs últimas | Informática
19/09/2018 | Grupo Renault Nissan terá sistema operacional Android em seus carros
18/09/2018 | A corrida para a criação do computador mais poderoso da história
11/06/2018 | Google tira ovos de emoji de salada para agradar veganos
As mais lidas de Informática
Relação não gerada ainda
As mais lidas no Geral
Relação não gerada ainda